การประกาศใช้ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้หลาย ๆ องค์กรเริ่มลุกขึ้นมาดำเนินการด้านนี้กันแล้ว แต่คุณแน่ใจหรือยังว่าได้ดำเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างสอดคล้องครบถ้วนกับตัวกฎหมายในทุกมิติ?

เมื่อเกิดการละเมิด เช่น การรั่วไหลของข้อมูลและมีผู้เสียหาย หากหน่วยงานที่เกี่ยวข้องตรวจสอบแล้วพบว่าคุณดำเนินงานไม่ครบตามกฎหมายบัญญัติ อาจโดนระวางโทษปรับทางปกครองสูงถึง 5 ล้านบาท ต้องชดเชยค่าสินไหมทดแทน และอาจเล่นเอาผู้มีอำนาจในการควบคุมข้อมูลส่วนบุคคลขององค์กรติดคุกได้อีก 1 ปี

คอนเฟิร์มความมั่นใจว่าทำตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ครบถ้วนแล้ว ด้วย Checklist นี้ได้เลย

องค์กรของคุณจำเป็นต้องมี Data Protection Officer หรือไม่ และต้องไม่ลืมที่จะใส่รายละเอียดติดต่อ DPO (หรือทีมงาน) ลงในเอกสารหรือทุกช่องทางที่เกี่ยวกับข้อมูลส่วนบุคคล

เลือกฐานทางกฎหมายสำหรับการประมวลผลข้อมูลแต่ละชุด หากไม่มีฐานฯ อื่นมารองรับ การประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล คุณทำ Consent Form แล้วหรือยัง

จัดทำ Data Flow และอบรมบุคลากรให้สามารถกรอกเอกสารได้ เพื่อประโยชน์ด้านการปรับปรุงกระบวนการคุ้มครองข้อมูล และเป็นเอกสารแสดงให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้ตรวจสอบ (Accountability)

จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร และประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผย ตลอดจนระยะเวลาการเก็บรักษาข้อมูล

ร่างแผนการรับมือหากเกิดการละเมิด โดยต้องแจ้งเรื่องแก่คณะกรรมการฯ ภายใน 72 ชั่วโมงหลังทราบเหตุละเมิด

อย่าลืมวางฟังก์ชันและระบบที่อำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

สำรวจและปรับปรุงระบบการรักษาความมั่นคงปลอดภัยทางไอที (IT Security)

จัดระเบียบการเข้าถึงข้อมูลของบุคลากรในเลเวลต่าง ๆ หรือเฉพาะผู้ที่มีส่วนเกี่ยวข้อง (Authorized Person) ตลอดจนมีระบบการป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต

อบรมบุคลากรให้มีความเข้าใจ และสร้างค่านิยมด้านการคุ้มครองข้อมูลภายในองค์กร เช่น การเก็บเอกสารและล็อกตู้เก็บเอกสาร การปิดหน้าจอหลังลุกจากโต๊ะทำงาน ฯลฯ ซึ่งช่วย ป้องกัน Human Error ที่อาจส่งผลให้เกิดการละเมิด

จัดทำแบบประเมินผลกระทบความเสี่ยงด้านการคุ้มครองข้อมูล (DPIA) หากพบว่าส่วนใดมีความเสี่ยงสูงต้องกลับไปแก้ไข และจัดการให้ได้ตรงตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล

เชื่อว่าลิสต์ประเด็นที่ต้องตรวจสอบข้างต้น จะช่วยให้คุณเห็นภาพว่ากระบวนการคุ้มครองข้อมูลส่วนบุคคลที่ทำมานั้นสมบูรณ์ดีหรือยัง ส่วนใดขาดเหลือก็อย่าลืมทำเพิ่มเติม หรือหากยังคงไม่มั่นใจ ก็ควรเสาะหาบริการที่ปรึกษา (Consult) หรือบริการตรวจสอบ (Audit) จากผู้เชี่ยวชาญทางด้านกฎหมาย/การคุ้มครองข้อมูลส่วนบุคคล

บริการตรวจสอบด้านการคุ้มครองข้อมูลส่วนบุคคล >>> PDPA Compliance Audit by DDTI